Schnorr-Signatures

Taproot 會不會造成更大的安全風險,甚至會阻礙未來對量子威脅的協議調整?

  • January 30, 2020

我在這裡引用了一個名為“blk014”的使用者,他從 24JAN 回復了 Pieter 的 Taproot 推文。我覺得這個使用者的評論很有趣,想問問開發專家這個**“施諾爾線性”**在未來尋找抗量子解決方案的過程中會有多大的安全問題?以及如何提前減輕或預防這種風險?

雖然 ECDSA 和 Schnorr 簽名與量子電腦相比都是不安全的,但Taproot 卻利用了 Schnorr 的線性,而今天還沒有量子安全的替代品。雖然讓比特幣量子安全已經很困難,但讓比特幣-Taproot 量子安全將是一場噩夢。

現在應該通過合理的風險評估來支持主根。結果取決於您對以下參數的選擇:(1) QC 打破 ECC 的時間 (2) QC-safe 主根替換開發+審查的時間 (3) 升級網路的時間,…

如何處理不會升級的無知/死使用者(Satoshi,地址重新使用者),其 UTXO 因(1)而變得脆弱

鑑於這些風險,升級到主根並不是非正常避風險,這是開發安全關鍵系統的適當方法,並且迄今為止一直在遵循。

這不僅僅是優先事項的問題,因為沒有主根實現 QC 安全是困難的,但至少有一條道路即將出現(參見目前的 NIST 標準化工作)。在taproot之後,問題就完全打開了。

最後一點:我個人並不反對啟動taproot(它非常優雅),但我也希望就[與Taproot]在這裡接受的風險的理性評估達成共識。

使用者繼續描述解決方案的 3 步方法,如果沒有 Taproot,則只需 2 步。但是對於 Taproot,第三步要困難得多:

我認為有**3 個主要的 QC 問題需要解決:(1)找到合適的後量子 DSA(2)在 QC 變大之前解決轉換問題,(3)找到線性PQ-DSA。**任何情況下都必須解決第 (1)-(2) 項,只要您相信 QC 最終會變大。

古爾格最近的量子霸權實驗是我們走在這條軌道上的重要證據。啟動主根後,我們還需要解決(3)。如果我們一起解決(1)和(3),這可能需要很長時間才能實現(2)。這就是我們現在啟動主根所承擔的風險。

它可能會將比特幣量子安全的時間**從 5 到 10 年推到 10 到 20 年,因為需要更多的研究。**風險評估應該得出我們是否有時間並願意承擔風險的結論。

感謝您對此問題的專家意見。

讓我首先解決您引用的文章中的誤解。

DSA(和 Schnorr)本質上基於離散對數問題,該問題容易受到(足夠強大的)量子電腦的影響。因此,沒有所謂的“後量子 DSA”。DSA 也沒有 Schnorr 的線性特性——如果“線性 DSA”有任何含義,那麼引用 Schnorr 將是一種奇怪的方式(DSA 是 Schnorr 的修改,旨在規避他的專利)。確實存在(似乎)後量子安全的數字簽名方案,但它們不是基於離散對數問題,而且它們通常非常大。

另一個誤解是 Taproot 依賴於 Schnorr 的線性。它沒有——Taproot 也可以使用 ECDSA 建構;它的用處要小得多。簡單的密鑰聚合需要線性屬性,這樣一個密鑰就可以代表多方的同意。

那麼,開始依賴 Schnorr 的線性是否會使遷移到 PQC 簽名變得更加困難?

線性只是用作增加比特幣腳本系統的隱私(和效率)的工具,而不會改變太多。然而,線性簽名並不是實現這些抽象目標的唯一方式。PQC 替代品不會試圖在另一個簽名方案中硬塞 Schnorr 的屬性——它首先只是為私有多重簽名(或更多)而建構的。如果找不到這樣的方案,我們只會失去那些隱私優勢(效率收益通常不會轉化),並且不會比我們一開始就沒有採用 Schnorr/Taproot 更糟。

儘管這樣做存在與 Schnorr/Taproot 無關的障礙。可能最大的一個是今天密鑰派生的工作方式。PCQ 簽名方案沒有任何類似於 BIP32 的東西,並且繼承當今圍繞密鑰生成存在的大部分基礎設施(xpub、派生路徑、PSBT、硬體錢包……)並非易事。我懷疑這將是一個比 Taproot 在逐個腳本的基礎上允許的結構更難解決的問題。

理想情況下,所有這些功能將如何延續到 PQC 系統?

在回答這個問題之前,讓我指出,在許多方面,Schnorr/Taproot 只是朝著從腳本中隱藏一些東西的一步。只有當產出可以由單方或多人合作使用時,它才會帶來優勢。在一個理想的世界裡,它們將被一個零知識證明所取代,即無論硬幣的接收者想要用什麼屬性來阻礙他們的儲存,在花費它時都會得到滿足,而不會透露任何其他內容。

一旦你以這種方式看待問題,就會清楚我們需要的實際上是零知識證明,而不是簽名。簽名僅限於向單個驗證者證明某事的單方,該驗證者知道自己想要什麼。這不是我們需要的:通常涉及多方,並且驗證者(執行共識規則的完整節點)實際上並不關心執行了什麼策略 - 只關心它與硬幣所有者設置的策略相匹配。

零知識證明系統今天可以做到這一點(在較小或較大程度上),儘管它們帶有性能/大小權衡或安全假設,目前生態系統可能難以採用。然而,這個科學領域在過去幾年裡取得了巨大的進步,我希望它會繼續這樣做。

回到 PQC,其中一些零知識證明方案可以做成 PQC。與 PQC 簽名方案一樣,它們通常很大(甚至比簽名更大),但正在改進。對於 QC,我們談論的是可能在幾十年後(或根本不會發生)的事件,而且在這麼長的時間內可能會發生很多事情。

引用自:https://bitcoin.stackexchange.com/questions/93047